Güvenlik Güncellemesi 2008-007 Hakkında

Bu belgede, Yazılım Güncelleme tercihleri veya Apple İndirilenler aracılığıyla indirilip yüklenebilen Güvenlik Güncellemesi 2008-007 açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Güvenlik Güncellemesi 2008-007

  • Apache

    • CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    • İlgili sürümler: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: Apache 2.2.8 sürümünde birden fazla güvenlik açığı

    • Açıklama: Apache, çeşitli güvenlik açıklarını gidermek için 2.2.9 sürümüne güncellendi. Bu açıkların en ciddi olanları siteler arası istek sahtekarlığına neden olabilir. Apache 2 sürümü, 10.5 sürümünden önceki Mac OS X İstemci sistemleriyle birlikte sunulmamaktadır. Apache 2 sürümü, Mac OS X Server v10.4.x sistemleriyle birlikte sunulmaktadır ancak varsayılan olarak etkin değildir. Daha fazla bilgiye Apache web sitesinden ulaşılabilir: http://httpd.apache.org/

  • Certificates

    • İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: Kök sertifikalar güncellendi

    • Açıklama: Sistem kökleri listesine çeşitli güvenilir sertifikalar eklendi. Çeşitli mevcut sertifikalar en yeni sürümlerine güncellendi. Tanınan sistem köklerinin tam listesi Anahtar Zinciri Erişimi uygulaması aracılığıyla görüntülenebilir.

  • ClamAV

    • CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

      İlgili sürümler: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Etki: ClamAV 0.93.3 sürümünde birden fazla güvenlik açığı

    • Açıklama: ClamAV 0.93.3 sürümünde birden fazla güvenlik açığı vardır. Bunların en ciddi olanı rastgele kod yürütülmesine neden olabilir. Bu güncelleme, ClamAV'yi 0.94 sürümüne güncelleyerek bu sorunları giderir. ClamAV, Mac OS X İstemci sistemleriyle birlikte sunulmamaktadır. ClamAV web sitesinde daha ayrıntılı bilgi bulunabilir: http://www.clamav.net/

  • ColorSync

    • CVE-ID: CVE-2008-3642

    • İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: Kötü amaçlarla oluşturulmuş bir görüntü dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    • Açıklama: Gömülü ICC profiline sahip görüntülerin işlenmesinde ara bellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş gömülü ICC profiline sahip bir görüntüyü açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, ICC profilleri için ek doğrulama gerçekleştirerek sorunu giderir. Teşekkür: Apple.

  • CUPS

    • CVE-ID: CVE-2008-3641

    • İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: Uzaktaki bir saldırgan, "lp" kullanıcısı ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

    • Açıklama: Hewlett-Packard Graphics Language (HPGL) filtresinde, kontrollü verilerin rastgele belleğin üzerine yazılmasına neden olabilecek bir aralık denetimi sorunu vardır. Yazıcı Paylaşımı etkinleştirilmişse uzaktaki bir saldırgan, "lp" kullanıcısı ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir. Yazıcı Paylaşımı etkinleştirilmemişse yerel bir kullanıcı yükseltilmiş ayrıcalıklar elde edebilir. Bu güncelleme, ek sınır denetimi gerçekleştirerek sorunu giderir. TippingPoint'in Zero Day Initiative programıyla çalışan regenrecht'e bu sorunu bildirdiği için teşekkür ederiz.

  • Finder

    • CVE-ID: CVE-2008-3643

    • İlgili sürümler: Mac OS X v10.5.5, Mac OS X Server v10.5.5

      Etki: Masaüstü'ndeki bir dosya servis reddine yol açabilir

    • Açıklama: Finder'da bir hata kurtarma sorunu vardır. Masaüstü'nde yer alan ve Finder'ın simgesini oluştururken beklenmedik şekilde sonlandırılmasına neden olan kötü amaçlarla oluşturulmuş bir dosya, Finder'ın sürekli olarak sonlandırılıp yeniden başlatılmasına neden olacaktır. Dosya kaldırılana kadar kullanıcı hesabına Finder kullanıcı arayüzü üzerinden erişilemez. Bu güncelleme, simgeleri ayrı bir işlemde oluşturarak sorunu giderir. Mac OS X 10.5'ten önceki sürümlerin yüklü olduğu sistemler bu sorundan etkilenmez. n.runs AG şirketinden Sergio "shadown" Alvarez'e bu sorunu bildirdiği için teşekkür ederiz.

  • launchd

    • Etki: Uygulamalar istendiğinde korumalı alana giremeyebilir

    • İlgili sürümler: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Açıklama: Bu güncelleme, Mac OS X v10.5.5 sürümünde ortaya çıkan bir sorunu giderir. Başlatmadaki bir uygulama sorunu, uygulamaların korumalı alana girme isteğinin başarısız olmasına neden olabilir. Belgelendirilmiş sandbox_init API kullanan programlar bu sorundan etkilenmez. Bu güncelleme, launchd'nin güncellenmiş bir sürümünü sağlayarak sorunu giderir. Mac OS X v10.5.5 öncesindeki sistemler bu sorundan etkilenmez.

  • libxslt

    • CVE-ID: CVE-2008-1767

    • İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: Bir XML belgesinin işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

      Açıklama: libxslt kitaplığında bir ara bellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir HTML sayfasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Uygulanan yama ile ilgili daha fazla bilgi http://xmlsoft.org/XSLT/ web sitesinde mevcuttur. Bu sorunu bildirdikleri için Outpost24 AB'den Anthony de Almeida Lopes'e ve Google Security Team'den Chris Evans'a teşekkür ederiz.

  • MySQL Server

    • CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    • İlgili sürüm: Mac OS X Server v10.5.5

      Etki: MySQL 5.0.45 sürümünde birden fazla güvenlik açığı

    • Açıklama: MySQL, aralarında rastgele kod yürütmeye yol açan bir sorunun da bulunduğu birden fazla güvenlik açığını gidermek için 5.0.67 sürümüne güncellendi. Bu sorunlar yalnızca Mac OS X Server sistemlerini etkilemektedir. MySQL web sitesinde daha ayrıntılı bilgi bulunabilir: http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html

  • Networking

    • CVE-ID: CVE-2008-3645

    • İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: Yerel bir kullanıcı sistem ayrıcalıkları elde edebilir

    • Açıklama: configd EAPOLController yazılım ekinin yerel IPC bileşeninde, yerel kullanıcının sistem ayrıcalıkları edinmesine izin verebilecek bir yığın ara bellek taşması vardır. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Teşekkür: Apple.

  • PHP

    • CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    • İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Etki: PHP 4.4.8'te birden çok güvenlik açığı

    • Açıklama: PHP, aralarında rastgele kod yürütmeye yol açan bir sorunun da bulunduğu birden fazla güvenlik açığını gidermek için 4.4.9 sürümüne güncellendi. Daha fazla bilgiye http://www.php.net/ adresindeki PHP web sitesinden ulaşılabilir. Bu sorunlar yalnızca Mac OS X v10.4.x, Mac OS X Server v10.4.x veya Mac OS X Server v10.5.x sürümlerini çalıştıran sistemleri etkilemektedir.

  • Postfix

    • CVE-ID: CVE-2008-3646

    • İlgili sürüm: Mac OS X v10.5.5

      Uzaktaki bir saldırgan doğrudan yerel kullanıcılara posta gönderebilir

    • Açıklama: Postfix konfigürasyon dosyalarında bir sorun vardır. Yerel bir komut satırı aracı posta gönderdikten sonraki bir dakikalık süre içinde postfix'e ağ üzerinden erişilebilir. Bu süre içinde, SMTP bağlantı noktasına bağlanabilen uzaktaki bir varlık, yerel kullanıcılara porta gönderebilir ve başka bir şekilde SMTP protokolünü kullanabilir. Bu sorun, sistemin açık posta aktarımı olmasına neden olmaz. Bu sorun, uzaktaki makinelerden kurulan SMTP bağlantılarını engellemek için Postfix konfigürasyonu değiştirilerek giderildi. Mac OS X v10.5 öncesindeki sistemler ve Mac OS X Server bu sorundan etkilenmez. Bu sorunu bildirdiği için Pelle Johansson'a teşekkür ederiz.

  • PSNormalizer

    • CVE-ID: CVE-2008-3647

    • İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: Kötü amaçlarla oluşturulmuş bir PostScript dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    • Açıklama: PSNormalizer'ın PostScript dosyalarındaki sınırlayıcı kutu yorumunu işlemesinde ara bellek taşması vardır. Kötü amaçlarla oluşturulmuş bir PostScript dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, PostScript dosyalarının ek doğrulamasını gerçekleştirerek sorunu giderir.

    • Teşekkür: Apple.

  • QuickLook

    • CVE-ID: CVE-2008-4211

    • İlgili sürümler: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Excel dosyasını indirmek veya görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına ya da rastgele kod yürütülmesine neden olabilir

    • Açıklama: QuickLook'un Microsoft Excel dosyalarındaki sütunları işlemesinde, sınırların dışında bellek erişimine yol açabilecek bir imza sorunu vardır. Kötü amaçlarla oluşturulmuş bir Microsoft Excel dosyasını indirmek veya görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına ya da rastgele kod yürütülmesine neden olabilir. Bu güncelleme, Microsoft Excel dosyalarının ek doğrulamasını gerçekleştirerek sorunu giderir. Bu sorun Mac OS X 10.5'ten önceki sürümlerin yüklü olduğu sistemleri etkilemez. Teşekkür: Apple.

  • rlogin

    • CVE-ID: CVE-2008-4212

    • İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: rlogin ve host.equiv'i kullanacak şekilde manuel olarak yapılandırılmış sistemler, beklenmedik bir şekilde kök oturum açmaya izin verebilir

    • Açıklama: hosts.equiv konfigürasyon dosyasının kılavuz sayfası, girişlerin kök için geçerli olmadığını gösterir. Ancak rlogind'deki bir uygulama sorunu bu girişlerin kök için de geçerli olmasına neden olmaktadır. Bu güncelleme, uzaktaki sistemin hosts.equiv'de olması durumunda rlogin'i root kullanıcısından uygun şekilde yasaklayarak sorunu giderir. rlogin servisi Mac OS X'te varsayılan olarak etkin değildir ve etkinleştirilmesi için manuel olarak ayarlanması gerekir. Bu sorunu bildirdiği için Ralf Meyer'e teşekkür ederiz.

  • Script Editor

    • CVE-ID: CVE-2008-4214

    • İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: Bir yerel kullanıcı, Script Editor uygulamasını kullanan başka bir kullanıcının ayrıcalıklarını edinebilir

    • Açıklama: Script Editor uygulamasında, uygulama komut dosyası oluşturma sözlükleri açılırken güvenli olmayan bir dosya işlemi sorunu vardır. Yerel bir kullanıcı, komut dosyası çalıştırma sözlüğünün uygulamayı çalıştıran kullanıcı tarafından erişilebilen bir rastgele yola yazılmasına neden olabilir. Bu güncelleme, geçici dosyayı güvenli bir konumda oluşturarak sorunu giderir. Teşekkür: Apple.

  • Single Sign-On

    • İlgili sürümler: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: sso_util komutu bir dosyadaki parolaları kabul etmektedir

    • Açıklama: sso_util komutu SSO_PASSWD_PATH ortam değişkeninde adlandırılan bir dosyadaki parolaları kabul eder. Bu, otomatik komut dosyalarının sso_util komutunu daha güvenli bir şekilde kullanmasını sağlar.

  • Tomcat

    • CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    • İlgili sürüm: Mac OS X Server v10.5.5

    • Etki: Tomcat 6.0.14'te birden fazla güvenlik açığı

    • Açıklama: Mac OS X v10.5 sistemlerindeki Tomcat, en ciddileri siteler arası komut dosyası saldırısına yol açabilecek çeşitli güvenlik açıklarını gidermek için 6.0.18 sürümüne güncellenmiştir. Bu sorunlar yalnızca Mac OS X Server sistemlerini etkilemektedir. Daha fazla bilgiye Tomcat web sitesinden ulaşılabilir: http://tomcat.apache.org/

  • vim

    • CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    • İlgili sürümler: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Etki: vim 7.0'da birden fazla güvenlik açığı

    • Açıklama: vim 7.0'da birden çok güvenlik açığı var ve bunların en ciddisi kötü niyetli olarak hazırlanmış dosyalarla çalışırken rastgele kod yürütülmesine neden olabilir. Bu güncelleme, vim'i 7.2.0.22 sürümüne güncelleyerek sorunu giderir. Daha fazla bilgiye şu adresteki vim web sitesinden ulaşılabilir: http://www.vim.org/

  • Weblog

    • CVE-ID: CVE-2008-4215

    • İlgili sürüm: Mac OS X Server v10.4.11

    • Etki: Web günlüğü gönderilerinde erişim kontrolü uygulanmamış olabilir

    • Açıklama: Web günlüğü sunucusunda kontrol edilmemiş bir hata durumu vardır. Birden fazla kısa ada sahip kullanıcıyı bir web günlüğü gönderisinin erişim kontrolü listesine eklemek, web günlüğü sunucusunun erişim kontrolünü uygulamamasına neden olabilir. Bu sorun, erişim kontrol listelerinin kaydedilme şekli iyileştirilerek giderildi. Bu sorun yalnızca Mac OS X Server v10.4 çalıştıran sistemleri etkilemektedir. Teşekkür: Apple.

Yayın Tarihi: